CN114938278B - 一种零信任访问控制方法及装置 - Google Patents
一种零信任访问控制方法及装置 Download PDFInfo
- Publication number
- CN114938278B CN114938278B CN202210375935.2A CN202210375935A CN114938278B CN 114938278 B CN114938278 B CN 114938278B CN 202210375935 A CN202210375935 A CN 202210375935A CN 114938278 B CN114938278 B CN 114938278B
- Authority
- CN
- China
- Prior art keywords
- access control
- node
- access
- transaction
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 238000012795 verification Methods 0.000 claims abstract description 35
- 230000008520 organization Effects 0.000 claims description 14
- 238000004891 communication Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 6
- 238000004806 packaging method and process Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 abstract description 16
- 230000006870 function Effects 0.000 description 8
- 238000013475 authorization Methods 0.000 description 7
- 230000003068 static effect Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000002360 preparation method Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000005012 migration Effects 0.000 description 2
- 238000013508 migration Methods 0.000 description 2
- 241001522296 Erithacus rubecula Species 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种零信任访问控制方法及装置,用户在访问过程中通过客户端连接接入节点后,根据需要访问的指定服务的统一资源定位符查询相应的第一动态角色,以获得访问控制规则文本进行用户的身份认证。在此过程中,第一动态角色、第一动态角色引用的相关动态角色,用户的注册信息和访问记录都是在区块链上进行记录和存储,在每次访问控制过程中还需要依靠区块链对访问控制交易进行共识认证,这使得每次访问控制都是暂时性的、动态的,针对指定服务设置的第一动态角色及其引用的相关动态角色也是自由可变的,为访问控制的认证提供了丰富的验证选项,符合零信任理念。
Description
技术领域
本发明涉及访问控制技术领域,尤其涉及一种零信任访问控制方法及装置。
背景技术
企业的内网和外网之间有着明确的界限。一方面,这意味着对企业内网的设备无条件信任,而另一方面,来自互联网的设备则必须采取某种技术手段实现对内网的访问。虚拟专用网络(VPN)是一种常用的远程访问技术。为了使用VPN,需要在内网中架设一台VPN服务器。用户连接互联网后,通过互联网连接VPN服务器,然后验证身份,通过VPN服务器访问企业内网。配合远程访问技术,往往还需要一种访问控制方法,以实现对于资源的授权访问。基于角色的访问控制(RBAC)是最常用的访问控制方式,其对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。用户被分配适当的角色,而每一种角色对应一组相应的权限。
对于内网设备的无条件信任存在安全隐患,一旦内网设备被入侵,那么整个内网就为入侵者敞开了大门。同时,在处理多个机构间互相访问的需求时,传统的解决方案没有提供直接的支持,更无法达到开透明与安全可信。因此,亟需一种访问控制方法用于实现用户和服务之间的远程安全访问。
发明内容
本发明提供了一种零信任访问控制方法及装置,以消除或改善现有技术中存在的一个或更多个缺陷,以克服传统方法中通过用户名和密码进行静态认证时的信息泄露风险。
本发明的技术方案如下:
一方面,本发明提供一种零信任访问控制方法,所述方法用于在区块链网络上运行,所述区块链网络包括多个共识节点以及多个接入节点,所述方法包括:
用户验证登录客户端,通过所述客户端将对指定服务的访问请求发送至第一接入节点;
所述第一接入节点获取所述指定服务的统一资源定位符,根据所述统一资源定位符查找所述指定服务相关的最新区块,并获取所述指定服务对应最新的第一动态角色;查询所述第一动态角色的引用关系,获取所述第一动态角色所引用的所有相关动态角色;所述第一动态角色和所述相关动态角色是由所述接入节点执行的判断用户是否有访问权限的访问控制规则文本;
所述第一接入节点根据所述第一动态角色和所述相关动态角色的索引检索并验证区块链上所述用户的注册信息和以往的访问记录,所述第一接入节点根据所述第一动态角色和所述相关动态角色记载的访问控制规则文本向所述客户端下发验证命令,在验证通过的情况下所述第一接入节点授权所述用户对所述指定服务进行访问通信并上传新的访问记录;所述第一接入节点向任意数量个已连接的共识节点发送所述访问记录,以发起访问控制交易;
各共识节点对所述访问控制交易共识认证成功后,将所述访问控制交易加入交易池,在所述交易池内的访问控制交易数量达到设定数值或距离上次区块提交时间达到设定时长时,由各共识节点将所述交易池内的访问控制交易打包区块后上链存储。
在一些实施例中,用户验证登录客户端之前,所述方法还包括:
所述客户端采用第一设定算法为所述用户生成唯一标识符,并采用第二设定算法为所述用户生成密钥对;
所述客户端采用所述密钥对将所述用户所属的机构部门标识和所述唯一标识符作为注册信息进行加密后,发送至任意一个接入节点并接收由该接入节点颁发和返回的数字证书;
所述客户端将所述密钥对中的私钥加密,并将加密后的私钥和所述数字证书保存在本地,用于登录验证;
以及,由接收加密后所述注册信息的接入节点将所述注册信息和对应的数字证书作为注册交易发送至任意数量个已连接的共识节点进行共识认证和上链存储。
在一些实施例中,所述第一设定算法为UUID算法,所述第二设定算法为RSA算法。
在一些实施例中,由各共识节点将所述交易池内的访问控制交易打包区块后上链存储,还包括:
对所述访问控制交易增加第一字段,用于标记所述用户对所述指定服务访问并进行身份验证时,采用的所述第一动态角色所在区块的哈希值。
在一些实施例中,所述方法还包括:由所述用户通过客户端创建或修改所述指定服务对应的第一动态角色,并通过任意一个接入节点作为动态角色交易上传至一个或多个所述共识节点进行上链存储;
所述第一动态角色对应的动态角色交易中包含第二字段,所述第二字段记载所述第一动态角色所引用的相关动态角色所在区块的哈希值以供检索。
在一些实施例中,由各共识节点将所述交易池内的访问控制交易打包区块后上链存储,还包括:每条访问控制交易中增加第三字段,用于记载所述用户上一条访问控制交易所在区块的哈希值,直至指向所述用户对应的注册交易所在区块。
在一些实施例中,各共识节点对所述访问控制交易共识认证成功后,将所述访问控制交易加入交易池,在所述交易池内的访问控制交易数量达到设定数值或距离上次区块提交时间达到设定时长时,由各共识节点将所述交易池内的访问控制交易打包区块后上链存储,包括:
接收到所述访问控制交易的多个共识节点分别对所述访问控制交易的数字证书进行完整性认证,在认证通过的情况下检查所述访问控制交易的哈希值和序列号,判断是否已经收到过所述访问控制交易,若判断未收到过所述访问控制交易则将其加入各共识节点对应的交易池中;
为各共识节点配置编号,并根据设定规则选取一个共识节点作为提案节点,标记所述提案节点对应的交易池为提案交易池;
在所述提案交易池包含的访问控制交易数量达到设定数值或距离上次区块提交时间达到设定时长时,所述提案节点将所述提案交易池内所有的访问控制交易打包成候选区块并广播;
由所述提案节点以外的其他共识节点对所述候选区块的序号以及区块头数据进行验证,在验证通过的情况下向所述提案节点反馈验证通过信息;
所述提案节点接收到验证通过信息的数量达到指定阈值时,正式提交所述候选区块以加入区块链。
在一些实施例中,所述设定规则为随机选取;所述指定阈值为2f+1,f为所述共识节点中故障节点或作恶节点的最大容忍数量。
另一方面,本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述方法的步骤。
另一方面,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现上述方法的步骤。
本发明的有益效果至少是:
本发明所述零信任访问控制方法及装置中,用户在访问过程中通过客户端连接接入节点后,根据需要访问的指定服务的统一资源定位符查询相应的第一动态角色,以获得访问控制规则文本进行用户的身份认证。在此过程中,第一动态角色、第一动态角色引用的相关动态角色,用户的注册信息和访问记录都是在区块链上进行记录和存储,在每次访问控制过程中还需要依靠区块链对访问控制交易进行共识认证,这使得每次访问控制都是暂时性的、动态的,针对指定服务设置的第一动态角色及其引用的相关动态角色也是自由可变的,为访问控制的认证提供了丰富的验证选项,符合零信任理念。
本发明的附加优点、目的,以及特征将在下面的描述中将部分地加以阐述,且将对于本领域普通技术人员在研究下文后部分地变得明显,或者可以根据本发明的实践而获知。本发明的目的和其它优点可以通过在书面说明及其权利要求书以及附图中具体指出的结构实现到并获得。
本领域技术人员将会理解的是,能够用本发明实现的目的和优点不限于以上具体所述,并且根据以下详细说明将更清楚地理解本发明能够实现的上述和其他目的。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的限定。在附图中:
图1为本发明一实施例所述零信任访问控制方法的流程示意图;
图2为本发明一实施例所述零信任访问控制方法采用的系统结构示意图;
图3为本发明一实施例所述零信任访问控制方法中用户登录与访问流程示意图;
图4为本发明一实施例所述零信任访问控制方法采用的数据索引结构示意图;
图5为本发明一实施例所述零信任访问控制方法采用的共识算法流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施方式和附图,对本发明做进一步详细说明。在此,本发明的示意性实施方式及其说明用于解释本发明,但并不作为对本发明的限定。
在此,还需要说明的是,为了避免因不必要的细节而模糊了本发明,在附图中仅仅示出了与根据本发明的方案密切相关的结构和/或处理步骤,而省略了与本发明关系不大的其他细节。
应该强调,术语“包括/包含”在本文使用时指特征、要素、步骤或组件的存在,但并不排除一个或更多个其它特征、要素、步骤或组件的存在或附加。
在此,还需要说明的是,如果没有特殊说明,术语“连接”在本文不仅可以指直接连接,也可以表示存在中间物的间接连接。
由于传统的访问控制技术大多采用用户名和密码进行静态的认证,在认证信息存储和传输的过程中,很容易被泄露产生安全隐患。本发明提供一种访问控制系统,引入零信任思想与区块链技术,其中,零信任的关键是打破默认的信任,默认不信任企业网络内外的任何人、设备和系统,即所谓“持续验证,永不信任”,聚焦细粒度的动态权限控制。而区块链具有集体维护、可以追溯、公开透明的特征,有利于解决不同机构间的互信问题。
具体的,本发明提供一种零信任访问控制方法,所述方法用于在区块链网络上运行,所述区块链网络包括多个共识节点以及多个接入节点,如图2所示,区块链网络上共识节点用于执行共识算法,形成和存储区块链。在共识节点的外围连接设置多个接入节点,用于处理客户端发请求、代用户进行区块链读写操作、代理客户端与服务的通信。本发明中的服务,是对供用户访问的静态资源的抽象,具体实际应用过程中,可以表现为一种服务接口或者文件,如web接口;服务可以采用URL(统一资源定位符)作为标识,以HTTPS或HTTPS接口的形式对外提供服务。客户端是运行在用户侧的软件或专用硬件设备,用于根据用户的访问请求实现访问功能。其中,服务和动态角色可以由用户进行创建、发布和修改。
如图1所示,所述方法包括步骤S101~S105:
需要预先说明的是,本实施例中的步骤S101~S105,并不是对步骤先后顺序的限定,应当理解为,在实际应用过程中可以根据需要调换执行顺序或并行。
步骤S101:用户验证登录客户端,通过客户端将对指定服务的访问请求发送至第一接入节点。
步骤S102:第一接入节点获取指定服务的统一资源定位符,根据统一资源定位符查找指定服务相关的最新区块,并获取指定服务对应最新的第一动态角色;查询第一动态角色的引用关系,获取第一动态角色所引用的所有相关动态角色;第一动态角色和相关动态角色是由接入节点执行的判断用户是否有访问权限的访问控制规则文本。
步骤S103:第一接入节点根据第一动态角色和相关动态角色的索引检索并验证区块链上用户的注册信息和以往的访问记录,第一接入节点根据第一动态角色和相关动态角色记载的访问控制规则文本向客户端下发验证命令,在验证通过的情况下第一接入节点授权用户对指定服务进行访问通信并上传新的访问记录。步骤S104:第一接入节点向任意数量个已连接的共识节点发送访问记录,以发起访问控制交易。
步骤S105:各共识节点对访问控制交易共识认证成功后,将访问控制交易加入交易池,在交易池内的访问控制交易数量达到设定数值或距离上次区块提交时间达到设定时长时,由各共识节点将交易池内的访问控制交易打包区块后上链存储。
在步骤S101中,用户是针对提供服务的机构部门或者不同类型的服务进行预注册设置的,也即一个用户主体只能对特定服务提供方的特定服务类型进行访问。用户登录客户端的可以直接采用用户名和密码进行验证的方式。用户在自己的终端登录客户端之后,可以针对指定服务发起访问请求,其中指定服务是指用户期望访问的目标端口、目标静态资源或目标文件,指定服务采用URL(统一资源定位符)作为唯一标识。访问请求中所期望实施的动作可以是对服务所提供的数据的访问、读取、修改或特定程序的调用执行。这里需要说明的是,第一接入节点并不特指某一特定的接入节点,而应当理解为是客户端所访问的接入节点,用于区分客户端访问连接的接入节点和其他接入节点,具体的第一接入节点基于网络连接状况确定。
在步骤S102中,在本发明中,用户的注册和访问行为,对于动态角色的创建和修改行为,以及其他所有动作,都作为交易数据打包成区块进行区块链的上链存储。因此,第一接入节点可以基于指定服务对应的URL检索链上数据,查找指定服务所对应的最新区块。指定服务相关的最新区块内记载了访问该服务所需要进行的访问验证规则,也即第一动态角色,第一接入节点可以根据第一动态角色对用户是否具有权限访问指定服务。其中,第一动态角色可以以引用的形式接入其他的动态角色,这里将第一动态角色中所引用的动态角色称呼为相关动态角色。
在步骤S103中,基于步骤S102中获得的用于验证用户权限的第一动态角色及其引用的相关动态角色,对区块链上记载的用户的注册信息和以往的访问记录进行检验,同时向客户端发送验证命令。第一动态角色及其引用的相关动态角色的验证规则是预设的,也可以通过具有特定权限的用户进行构建、发布和修改,需要注意的是,构建、发布和修改的动态角色通过交易的形式记载在区块链上。当客户端和第一接入节点按照第一动态角色及其引用的相关动态角色中记载的内容完成验证后,授权用户对指定服务进行访问通信并上传新的访问记录。
在步骤S104和步骤S105中,接入节点将用户新的访问记录作为访问控制交易进行上链存储。区块链在进行上链存储的过程中,首先进行共识认证再进行打包区块上传。这里采用的共识认证算法可以是实用拜占庭容错(Practical Byzantine Fault Tolerance,PBFT)算法。
在一些实施例中,在步骤S101中,用户验证登录客户端之前,所述方法还包括步骤S201~S204:
步骤S201:客户端采用第一设定算法为用户生成唯一标识符,并采用第二设定算法为用户生成密钥对。
步骤S202:客户端采用密钥对将用户所属的机构部门标识和唯一标识符作为注册信息进行加密后,发送至任意一个接入节点并接收由该接入节点颁发和返回的数字证书。
步骤S203:客户端将密钥对中的私钥加密,并将加密后的私钥和数字证书保存在本地,用于登录验证。
以及,步骤S204:由接收加密后注册信息的接入节点将注册信息和对应的数字证书作为注册交易发送至任意数量个已连接的共识节点进行共识认证和上链存储。
步骤S201~S204是对新用户的注册步骤,对用户生成唯一标识符和用于加密的密钥对,同时将用户所属的机构部门的机构部门标识进行链上存储,用于后续步骤根据第一动态角色及其引用的相关动态角色中的规则进行验证。在一些实施例中,第一设定算法为UUID算法,第二设定算法为RSA算法。
在一些实施例中,步骤S105中,由各共识节点将所述交易池内的访问控制交易打包区块后上链存储,还包括:对访问控制交易增加第一字段,用于标记用户对指定服务访问并进行身份验证时,采用的第一动态角色所在区块的哈希值。通过标记第一动态角色所在区块的哈希值,实现对第一动态角色的快速检索。
在一些实施例中,所述方法还包括:由用户通过客户端创建或修改指定服务对应的第一动态角色,并通过任意一个接入节点作为动态角色交易上传至一个或多个共识节点进行上链存储;第一动态角色对应的动态角色交易中包含第二字段,第二字段记载第一动态角色所引用的相关动态角色所在区块的哈希值以供检索。
在一些实施例中,步骤S105中,由各共识节点将所述交易池内的访问控制交易打包区块后上链存储,还包括:每条访问控制交易中增加第三字段,用于记载用户上一条访问控制交易所在区块的哈希值,直至指向用户对应的注册交易所在区块。
在一些实施例中,步骤S105中,各共识节点对访问控制交易共识认证成功后,将访问控制交易加入交易池,在交易池内的访问控制交易数量达到设定数值或距离上次区块提交时间达到设定时长时,由各共识节点将交易池内的访问控制交易打包区块后上链存储,包括步骤S301~步骤S305:
步骤S301:接收到访问控制交易的多个共识节点分别对访问控制交易的数字证书进行完整性认证,在认证通过的情况下检查访问控制交易的哈希值和序列号,判断是否已经收到过访问控制交易,若判断未收到过访问控制交易则将其加入各共识节点对应的交易池中。
步骤S302:为各共识节点配置编号,并根据设定规则选取一个共识节点作为提案节点,标记提案节点对应的交易池为提案交易池。
步骤S303:在提案交易池包含的访问控制交易数量达到设定数值或距离上次区块提交时间达到设定时长时,提案节点将提案交易池内所有的访问控制交易打包成候选区块并广播。
步骤S304:由提案节点以外的其他共识节点对候选区块的序号以及区块头数据进行验证,在验证通过的情况下向提案节点反馈验证通过信息。
步骤S304:提案节点接收到验证通过信息的数量达到指定阈值时,正式提交候选区块以加入区块链。
在一些实施例中,设定规则为随机选取;指定阈值为2f+1,f为共识节点中故障节点或作恶节点的最大容忍数量。在另一些实施例汇总,设定规则也可以直接指定一共识节点作为提案节点。
另一方面,本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述方法的步骤。
另一方面,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现上述方法的步骤。
下面结合以一具体实施例,对本发明进行说明:
本实施例提供一种访问控制方法及系统,所述系统的组成元素包括:多个共识节点以及多个接入节点构成的区块链,用户通过客户端连接接入节点。
1)对本实施例中涉及的术语进行说明
服务:供用户访问的静态资源或服务接口。URL是服务的唯一标识,以HTTPS或HTTPS接口的形式对外提供服务。服务可以是一个web接口,或者一个文件,是资源的抽象,具体包含服务的URL、动态角色ID等信息,根据这些信息,执行权限验证和连接代理。
客户端:运行在用户侧的软件。用户使用该软件访问服务(例如内嵌网页或代理),也使用该软件对网关系统进行管理。
用户:使用客户端访问服务或管理系统的人。
共识节点:执行区块链共识算法、存储区块链数据的节点。
接入节点:处理客户端发请求、代用户进行区块链读写操作、代理客户端与服务通信的节点。
2)身份识别
身份识别是访问控制的基础,本系统使用了X.509格式的数字证书作为核心进行身份识别。身份识别包括注册和验证两个部分。
2.1注册部分包括:
2.1.1准备步骤
各个参与机构首先协商确定根证书列表,使用各机构的自签名证书作为根证书。值得注意的是,这里的根证书列表并不是操作系统内置的受信任证书颁发机构的根证书列表,而是只适用于本系统的根证书列表,与前者相互独立。这些根证书将内置于客户端、接入节点和共识节点中。
2.1.2共识节点和接入节点的加入
共识节点和接入节点由各个机构分别部署。节点加入之前,各机构需要为分别为自己部署的节点颁发数字证书。具体方法是,各机构使用RSA算法生成密钥,利用证书使用者属性的Common Name字段存放节点域名或IP,再使用本机构所持根证书的对应私钥对证书签名,生成数字证书。接入节点的证书和密钥应当备份,以供恢复使用。
2.1.3用户的注册和迁移
用户通过客户端进行注册,注册时,用户选择所属机构部门,或者由客户端预先配置,同时使用UUID算法生成用户的唯一标识符(ID)。客户端使用RSA算法生成密钥,同时将用户所属机构部门、用户ID(作为Common Name)一并送往任意接入节点,获取由接入节点颁发的数字证书。接入节点将用户注册的信息作为一条交易上传至区块链。客户端将用户的证书链以及加密后的私钥保存于本地,之后用户使用客户端时,必须提供这两个文件。客户端也提供了用户迁移的功能,可以导出私钥和证书链,便于用户迁移到另一个客户端。用户应当通过注册时使用的接入节点访问服务,客户端可以通过证书链获知这个节点。这有助于在证书出现泄露时,及时阻止访问。
2.2验证部分
2.2.1客户端对用户的验证
客户端在用户希望使用系统时,需要验证用户提供的证书链。用户还需要进行本地身份验证,例如使用口令或人脸识别等进行登录,这些本地验证策略是在注册时在客户端上设置的,同样可以迁移。注意,这一验证使用到的信息局限于客户端,不会上传至接入节点或共识节点。
2.2.2普遍的验证
在客户端和接入节点、接入节点和共识节点、共识节点之间,每次建立连接前都进行身份验证。双方交换证书,确认对方身份并验证其有效性,确认是最初配置的受信任根证书签发。特别地,客户端提供的用户证书由接入节点验证,接入节点需要验证证书是否由自己签发。此后,发送方在发送数据时,可以使用私钥对数据进行签名,接收方可以使用对方证书中的公钥来验证数据是否来自发送方以及是否被篡改。
3)服务的发布和访问
3.1服务的准备工作
服务需要的唯一适配工作就是设置过滤规则,阻止除了接入节点以外主机的直接访问。也就是说,所有访问都必须通过接入节点代理。实现手段可以是IP过滤或证书验证等。
3.2动态角色的设置
本实施例使用一种称为动态角色的文本进行访问控制。动态角色是可以由接入节点执行的规则文本,接入节点联合客户端利用这些规则判断用户是否有权限访问服务。这些验证或由接入节点下发至客户端执行,或由接入节点查询区块链数据执行。每个服务都与一个动态角色关联,而每个动态角色可以为多个服务复用。
动态角色由用户使用客户端创建并通过接入节点上传至共识节点,每个动态角色都有一个由UUID生成的唯一标识符(ID)与之关联。用户创建动态角色后,该动态角色便不在属于用户个人,而是任何服务都可以与之关联。
每个动态角色定义由若干语句组成,语句可以使用与、或、非三种逻辑运算来连接,使用括号来提示优先级,只有当整个定义的为真时,才授予用户访问权限。
而每个语句可以包括:
(1)对其他动态角色ID的引用;
(2)常规身份验证:静态口令、动态口令(这里的口令不是用户设置的客户端验证,而是由动态身份编写者设置的);
(3)其他用户授权:指定用户ID,由该用户在自己的客户端上进行授权;
(4)特定用户:用户ID、用户部门、用户机构、注册时间;
(5)环境检测:IP地址、MAC地址、操作系统;
(6)历史行为检测:上次访问环境,上次使用时间戳,对某个动态角色成功授权、拒绝授权的次数或比例。
3.3服务的发布
服务由用户发布到网关系统,任何用户都可以发布服务,同时可以修改、撤回自己发布的服务。用户通过客户端,向接入节点提交发布服务请求,需要提供的信息包括服务的URL和一个动态角色ID。接入节点会为服务生成ID,同时通过客户端提供的用户证书获取发布用户ID,随后将交易上传至共识节点。修改与撤回的操作类似。
3.4服务的访问
如图3所示,用户通过客户端使用URL向接入节点发送服务访问请求。接入节点通过读取区块链上服务的最新状态,获取服务对应的动态角色ID,再获取动态角色文本,判断用户是否有权限访问服务。如果可以,则作为HTTP或HTTPS代理,中继客户端与服务的通信。无论是否授权,都将访问授权记录上传共识节点。现代的Web服务通常是异步加载的,所以每次成功获取权限后较短时间内,对于同一用户、同一的动态角色不再重复验证,改善用户体验。
4)网络结构与通信
4.1网络结构的建立
各个机构分别部署自己的共识节点和接入节点,其中共识节点按照共识算法要求的数量部署,接入节点按实际需求部署。各个机构协商得出初始的共识节点与接入节点的地址名单。节点启动运行后,按照该名单,共识节点主动与其他共识节点建立链接,接入节点主动与共识节点建立连接。注意,进行连接前依然要按照身份识别部分所描述的方式进行身份验证。此后,再有新接入节点加入时,新节点需要按照身份识别部分所述,获取数字证书;启动时,提供若干共识节点地址,至少与其中一个节点建立连接即可;连接后,进行数据同步。这样就形成了以共识节点为中心、接入节点为外围的网状结构。
4.2节点连接建立与通信
本实施例中连接的概念,不是指TCP连接,而是指应用层的连接。本实施例使用RPC方式进行节点之间的通信,各种编程语言都有原生或第三方实现的RPC库。每个节点都运行着RPC服务器,等待处理RPC请求。后文使用尖括号表示RPC调用名称及其参数。后文也使用“发送消息”来指代RPC调用,甲向乙发送消息,实际指的是甲调用乙的过程,回复指的是返回值。例如,节点建立连接,也就是向对方发送消息<HELLO certificate>,其中certificate表示自己的证书;对方验证证书无误后,回复自己的证书。对方的证书验证通过后,发送心跳检测消息<HEARTBEAT>,连接正式建立,否则连接失败。连接建立后,双方每间隔一段时间也会发送心跳检测消息,确保对方存活。连接建立后,双方可继续传输实际数据。
4.3接入节点的地位
最开始已经提到过,共识节点是实际存储区块链数据、执行共识算法的节点。对于用户、客户端、服务来说,区块链是透明的,接入节点起到了隔离作用。因此,从共识节点的角度来看,接入节点是交易的发起者,接入节点向某个共识节点上传交易。而接入节点在每次用户访问服务时,都需要从区块链中读取数据,并且也及时需要对用户的管理操作是否成功做出反馈。为了改善延迟,将接入节点视为特殊的区块链节点,即不参与区块产生和共识流程,但是接收提交到区块链的区块。
5)交易与区块
5.1交易与区块数据
前文已经提到过,由接入节点上传共识节点的交易有:(1)用户注册(用户ID,所属机构,所属部门),(2)服务发布、修改、撤回(服务ID,URL,动态角色ID,发布者ID),(3)动态角色发布(动态角色ID,动态角色文本),(4)访问授权记录(用户ID、服务URL、动态角色ID、授权结果、IP地址、MAC地址、操作系统)。
除了上文提到的数据信息,每条交易在上传时还需要附上指明交易类型、序列号、接入节点公钥、时间戳、交易哈希值、接入节点数字签名。
区块的数据包括:(1)序列号,(2)时间戳,(3)上一区块哈希值,(4)创建者公钥,(5)当前区块哈希值,(6)数字签名,(7)交易数据。
5.2改进的区块结构与数据检索
传统的区块链是线性结构,类似于数组或链表。为了便利的检索数据,往往还需要建立一个状态数据库,用以存储可能需要查询的数据项所在的区块。本实施例提出了一种新的区块结构和检索方法,可以更快地检索访问服务时所需的动态角色、访问授权记录,参照图4。
(1)服务中的每条交易,都在提交到区块链时,增加一个字段,存储对应的动态角色所在的区块哈希值。类似的,动态角色的每条交易,增加一个字段,存储其所引用的其他动态角色所在的区块哈希值。也同样,将访问授权记录的每条交易都增加一个字段,存储该用户上一条记录所在的区块哈希值,直到指向用户注册交易所在的区块。
(2)为了根据哈希值迅速的找到对应的区块,本实施例使用一个哈希表在内存中建立区块的索引,本实施例以区块哈希值作为关键字构造散列函数。例如,散列函数可以是SHA256(b)mod 2^240,其中b是区块,每个哈希表项对应的一个桶,这个桶可以是链表或红黑树等数据结构。
(3)类似于(2),本实施例建立服务URL到服务所在区块的索引,以及用户ID到用户注册区块、用户最后一条访问授权记录所在区块的索引。
(4)这样,用户访问服务时,先根据(3)中索引查找服务所在区块,取出服务最新的交易,进而找到服务交易中的动态角色所在区块的哈希值,使用(2)中索引,查找到动态角色交易所在区块,取出动态角色创建交易。由于动态角色间存在引用关系,这一步可能重复若干次。最后,如果要使用用户信息进行判断,则使用(3)中索引查找用户注册交易及最后一条访问记录所在区块。其中最后一条访问记录可以查找到上一条访问记录所在区块哈希值,以此类推,可查找到全部访问记录。
(5)本实施例通过这个索引查找到的是区块持久化的磁盘文件地址,或者内存指针。这是因为本实施例会将使用过的区块缓存于内存中,而不是直接将其移出内存。这个缓冲区有固定的大小,执行某种替换算法。
6)在上链存储过程中引入共识算法
本实施例将PBFT算法应用于本场景。PBTF要求节点数不少于3f+1,其中f为可以容忍的故障节点或作恶节点数。原始的PBFT是针对每条消息(交易)都要进行一次共识,虽然这种即时的共识可以减少延迟,但也带来了更大的通信开销。本实施例可以将若干交易作为一个区块,每个区块进行一次共识即可。同时,将区块序列号与PBFT中的视图编号对应,每个区块的产生都会伴随者一次主节点的确认,而不是等到出现问题才更换主节点。下文中的节点如无特殊说明,指共识节点。参照图5,共识算法的流程步骤如下。
6.1共识算法的准备
要求所有共识节点在运行前配置编号,同时确定一个函数,建立区块序列号(编号)与共识节点编号的对应关系,所有共识节点都运行相同的函数。例如,即将提交的区块序列号为n,共识节点编号为0至3,则提案节点可以是n mod 4,即采用轮流的方式确定下一个提案节点。也可以配置更复杂的函数,甚至配置为常数,用以计算下一提案节点。
6.2阶段1:交易收集
接入节点向任意数量的已连接共识节点上传交易。共识节点接收接入节点和其他共识节点发送的交易,验证数字签名,确认未被篡改和伪造,检查哈希值和序列号,如果是已经收到过的交易,则抛弃;否则,加入交易池暂存,同时向除来源节点外的已连接共识节点发送这一交易。尽管进行了广播,本实施例并不强求所有共识节点都有一样的交易池。后面提到的“广播”,都是类似这样洪泛的。当交易池内的交易数量达到设定的规模,或者距离上次区块提交的时间达到一定时间间隔,共识节点将交易池内的交易取出打包区块,区块序列号加一。同时进入下一阶段。
6.3阶段2:提案节点确认
计算得出新的提案节点编号后,节点广播<PROPOSER n,p,s>消息,其中n是区块序列号,p是新的提案节点编号,s是发送消息的节点编号。当编号为p的节点收到2f+1个不同来源的消息时,即可确认自己就是区块n的提案节点。提案节点广播<COMFIRM n,p>消息,其他节点收到消息,进入下一阶段。
6.4阶段3:区块广播
提案节点广播消息<BLOCK b>,其中b为自己打包的区块。收到区块后各个节点验证序列号是否正确,区块的内容有没有被篡改(数字签名),上一区块哈希值是否与自己相同。验证通过后,广播<ACCEPT n,s,h>消息,其中n为区块序列号,s为节点编号,h为区块哈希值。收到2f+1个来自不同节点s且h与区块b哈希值相同的ACCEPT消息后,进入下一阶段。
6.5阶段4:区块提交
节点广播<COMMIT n,s,h>消息,收到2f+1个来自不同节点s且哈希值与区块b哈希值相同的COMMIT消息后,正式提交之前收到的区块b,将其加入本节点的区块链中。同时如果有接入节点与之连接,则将区块b发送至接入节点。接入节点收到区块链后,更新本地的索引。接入节点可能还需要向用户反馈操作是否成功,例如注册或者发布服务是否成功等。之后回到阶段1,周而复始。
值得注意的是,跟某个节点的交易池相比,最终提交的区块中可能缺失了某些交易,本实施例的做法是将本地交易池中未成功提交的交易丢弃,由接入节点收到区块或超时后通知客户端操作失败。
6.6问题节点处理
如果没有收到足够数量并且通过验证的消息,有以下三种可能:第一,本节点是问题节点,这时需要排除故障后,向其他节点同步区块。数据同步完成后,再回到流程中;第二,阶段2和阶段3提案节点出现问题,此时需要区块序列号加一,转到阶段2重新确认提案节点;第三,超过f个节点出现问题,超出了容错能力,系统只能中止运行。
身份识别方面,与单纯使用用户名和密码的身份识别方案相比,本实施例节点对节点、节点对用户依靠数字证书进行身份识别,安全可信且避免密码泄露风险,在客户端提供多因子认证,增强安全性,同时数据仅保存在本地,有利于数据安全。
权限控制方面,与传统基于角色的权限控制相比,本实施例的授权是暂时性的、动态的,提供丰富的验证选项,符合零信任理念,本实施例适用于多机构协作的半开放环境,服务的发布、动态角色的发布都是自由的,不依赖中心化的管理员,本实施例提供了策略的复用机制,避免重复劳动,也易于实现传统的角色。
区块链方面,与线性结构的区块链相比,本实施例使用的区块链结构简单易行,且可以更快地检索访问时所需的动态角色、访问授权记录。同时使PBFT共识算法更适合区块链场景。
所以,本实施例提供了一种在不同机构间互相访问网络服务的解决方案,使得不同机构的用户,都能访问彼此的资源和服务,而又提供严格和精细的权限控制,实现可信与安全。
综上所述,本发明所述零信任访问控制方法及装置中,用户在访问过程中通过客户端连接接入节点后,根据需要访问的指定服务的统一资源定位符查询相应的第一动态角色,以获得访问控制规则文本进行用户的身份认证。在此过程中,第一动态角色、第一动态角色引用的相关动态角色,用户的注册信息和访问记录都是在区块链上进行记录和存储,在每次访问控制过程中还需要依靠区块链对访问控制交易进行共识认证,这使得每次访问控制都是暂时性的、动态的,针对指定服务设置的第一动态角色及其引用的相关动态角色也是自由可变的,为访问控制的认证提供了丰富的验证选项,符合零信任理念。
本领域普通技术人员应该可以明白,结合本文中所公开的实施方式描述的各示例性的组成部分、系统和方法,能够以硬件、软件或者二者的结合来实现。具体究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
本发明中,针对一个实施方式描述和/或例示的特征,可以在一个或更多个其它实施方式中以相同方式或以类似方式使用,和/或与其他实施方式的特征相结合或代替其他实施方式的特征。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明实施例可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种零信任访问控制方法,其特征在于,所述方法用于在区块链网络上运行,所述区块链网络包括多个共识节点以及多个接入节点,所述方法包括:
用户验证登录客户端,通过所述客户端将对指定服务的访问请求发送至第一接入节点;
所述第一接入节点获取所述指定服务的统一资源定位符,根据所述统一资源定位符查找所述指定服务相关的最新区块,并获取所述指定服务对应最新的第一动态角色;查询所述第一动态角色的引用关系,获取所述第一动态角色所引用的所有相关动态角色;所述第一动态角色和所述相关动态角色是由所述接入节点执行的判断用户是否有访问权限的访问控制规则文本;
所述第一接入节点根据所述第一动态角色和所述相关动态角色的索引检索并验证区块链上所述用户的注册信息和以往的访问记录,所述第一接入节点根据所述第一动态角色和所述相关动态角色记载的访问控制规则文本向所述客户端下发验证命令,在验证通过的情况下所述第一接入节点授权所述用户对所述指定服务进行访问通信并上传新的访问记录;
所述第一接入节点向任意数量个已连接的共识节点发送所述访问记录,以发起访问控制交易;
各共识节点对所述访问控制交易共识认证成功后,将所述访问控制交易加入交易池,在所述交易池内的访问控制交易数量达到设定数值或距离上次区块提交时间达到设定时长时,由各共识节点将所述交易池内的访问控制交易打包区块后上链存储。
2.根据权利要求1所述的零信任访问控制方法,其特征在于,用户验证登录客户端之前,所述方法还包括:
所述客户端采用第一设定算法为所述用户生成唯一标识符,并采用第二设定算法为所述用户生成密钥对;
所述客户端采用所述密钥对将所述用户所属的机构部门标识和所述唯一标识符作为注册信息进行加密后,发送至任意一个接入节点并接收由该接入节点颁发和返回的数字证书;
所述客户端将所述密钥对中的私钥加密,并将加密后的私钥和所述数字证书保存在本地,用于登录验证;
以及,由接收加密后所述注册信息的接入节点将所述注册信息和对应的数字证书作为注册交易发送至任意数量个已连接的共识节点进行共识认证和上链存储。
3.根据权利要求2所述的零信任访问控制方法,其特征在于,所述第一设定算法为UUID算法,所述第二设定算法为RSA算法。
4.根据权利要求1所述的零信任访问控制方法,其特征在于,由各共识节点将所述交易池内的访问控制交易打包区块后上链存储,还包括:
对所述访问控制交易增加第一字段,用于标记所述用户对所述指定服务访问并进行身份验证时,采用的所述第一动态角色所在区块的哈希值。
5.根据权利要求1所述的零信任访问控制方法,其特征在于,所述方法还包括:由所述用户通过客户端创建或修改所述指定服务对应的第一动态角色,并通过任意一个接入节点作为动态角色交易上传至一个或多个所述共识节点进行上链存储;
所述第一动态角色对应的动态角色交易中包含第二字段,所述第二字段记载所述第一动态角色所引用的相关动态角色所在区块的哈希值以供检索。
6.根据权利要求1所述的零信任访问控制方法,其特征在于,由各共识节点将所述交易池内的访问控制交易打包区块后上链存储,还包括:
每条访问控制交易中增加第三字段,用于记载所述用户上一条访问控制交易所在区块的哈希值,直至指向所述用户对应的注册交易所在区块。
7.根据权利要求2所述的零信任访问控制方法,其特征在于,各共识节点对所述访问控制交易共识认证成功后,将所述访问控制交易加入交易池,在所述交易池内的访问控制交易数量达到设定数值或距离上次区块提交时间达到设定时长时,由各共识节点将所述交易池内的访问控制交易打包区块后上链存储,包括:
接收到所述访问控制交易的多个共识节点分别对所述访问控制交易的数字证书进行完整性认证,在认证通过的情况下检查所述访问控制交易的哈希值和序列号,判断是否已经收到过所述访问控制交易,若判断未收到过所述访问控制交易则将其加入各共识节点对应的交易池中;
为各共识节点配置编号,并根据设定规则选取一个共识节点作为提案节点,标记所述提案节点对应的交易池为提案交易池;
在所述提案交易池包含的访问控制交易数量达到设定数值或距离上次区块提交时间达到设定时长时,所述提案节点将所述提案交易池内所有的访问控制交易打包成候选区块并广播;
由所述提案节点以外的其他共识节点对所述候选区块的序号以及区块头数据进行验证,在验证通过的情况下向所述提案节点反馈验证通过信息;
所述提案节点接收到验证通过信息的数量达到指定阈值时,正式提交所述候选区块以加入区块链。
8.根据权利要求7所述的零信任访问控制方法,其特征在于,所述设定规则为随机选取;所述指定阈值为2f+1,f为所述共识节点中故障节点或作恶节点的最大容忍数量。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至8任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至8任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210375935.2A CN114938278B (zh) | 2022-04-11 | 2022-04-11 | 一种零信任访问控制方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210375935.2A CN114938278B (zh) | 2022-04-11 | 2022-04-11 | 一种零信任访问控制方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114938278A CN114938278A (zh) | 2022-08-23 |
CN114938278B true CN114938278B (zh) | 2023-10-31 |
Family
ID=82863150
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210375935.2A Active CN114938278B (zh) | 2022-04-11 | 2022-04-11 | 一种零信任访问控制方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114938278B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117614752B (zh) * | 2024-01-24 | 2024-03-22 | 明阳点时科技(沈阳)有限公司 | 一种双层零信任企业生产网安全自组网方法及系统 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107103252A (zh) * | 2017-04-27 | 2017-08-29 | 电子科技大学 | 基于区块链的数据访问控制方法 |
CN109040012A (zh) * | 2018-06-19 | 2018-12-18 | 西安电子科技大学 | 一种基于区块链的数据安全保护和共享方法与系统和应用 |
WO2019205849A1 (zh) * | 2018-04-28 | 2019-10-31 | 腾讯科技(深圳)有限公司 | 区块链访问的鉴权方法和装置、存储介质、电子装置 |
CN110569668A (zh) * | 2019-09-11 | 2019-12-13 | 北京邮电大学 | 基于区块链的数据加密存储方法、装置、设备和介质 |
CN111683101A (zh) * | 2020-06-16 | 2020-09-18 | 铭数科技(青岛)有限公司 | 一种基于区块链的自主跨域访问控制方法 |
CN112422532A (zh) * | 2020-11-05 | 2021-02-26 | 腾讯科技(深圳)有限公司 | 业务通信方法、系统、装置及电子设备 |
CN113051350A (zh) * | 2021-04-26 | 2021-06-29 | 湖南链聚信息科技有限责任公司 | 一种基于区块链的零信任网络访问系统 |
WO2021154157A1 (en) * | 2020-01-31 | 2021-08-05 | Agency For Science, Technology And Research | Blockchain-based data exchange |
CN113872944A (zh) * | 2021-09-07 | 2021-12-31 | 湖南大学 | 一种面向区块链的零信任安全架构及其集群部署框架 |
CN114024957A (zh) * | 2020-10-30 | 2022-02-08 | 北京八分量信息科技有限公司 | 一种零信任架构中对用户的行为做风险判定的方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10032011B2 (en) * | 2014-08-12 | 2018-07-24 | At&T Intellectual Property I, L.P. | Method and device for managing authentication using an identity avatar |
US11693979B2 (en) * | 2019-11-27 | 2023-07-04 | International Business Machines Corporation | Dynamic permission assignment and enforcement for transport process |
WO2022020284A1 (en) * | 2020-07-20 | 2022-01-27 | Cgi Federal | Security platform and method for efficient access and discovery |
-
2022
- 2022-04-11 CN CN202210375935.2A patent/CN114938278B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107103252A (zh) * | 2017-04-27 | 2017-08-29 | 电子科技大学 | 基于区块链的数据访问控制方法 |
WO2019205849A1 (zh) * | 2018-04-28 | 2019-10-31 | 腾讯科技(深圳)有限公司 | 区块链访问的鉴权方法和装置、存储介质、电子装置 |
CN109040012A (zh) * | 2018-06-19 | 2018-12-18 | 西安电子科技大学 | 一种基于区块链的数据安全保护和共享方法与系统和应用 |
CN110569668A (zh) * | 2019-09-11 | 2019-12-13 | 北京邮电大学 | 基于区块链的数据加密存储方法、装置、设备和介质 |
WO2021154157A1 (en) * | 2020-01-31 | 2021-08-05 | Agency For Science, Technology And Research | Blockchain-based data exchange |
CN111683101A (zh) * | 2020-06-16 | 2020-09-18 | 铭数科技(青岛)有限公司 | 一种基于区块链的自主跨域访问控制方法 |
CN114024957A (zh) * | 2020-10-30 | 2022-02-08 | 北京八分量信息科技有限公司 | 一种零信任架构中对用户的行为做风险判定的方法 |
CN112422532A (zh) * | 2020-11-05 | 2021-02-26 | 腾讯科技(深圳)有限公司 | 业务通信方法、系统、装置及电子设备 |
CN113051350A (zh) * | 2021-04-26 | 2021-06-29 | 湖南链聚信息科技有限责任公司 | 一种基于区块链的零信任网络访问系统 |
CN113872944A (zh) * | 2021-09-07 | 2021-12-31 | 湖南大学 | 一种面向区块链的零信任安全架构及其集群部署框架 |
Non-Patent Citations (2)
Title |
---|
区块链物联网设备与无线访问点双向认证方案;唐呈俊;蔡国宝;徐慧;赵汝文;叶俊;;网络空间安全(12);全文 * |
基于联盟链的分布式高效身份认证;姚影;《电子技术应用》;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114938278A (zh) | 2022-08-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2019236667B2 (en) | System and method for decentralized identity management, authentication and authorization of applications | |
US8549326B2 (en) | Method and system for extending encrypting file system | |
US10263855B2 (en) | Authenticating connections and program identity in a messaging system | |
US8788811B2 (en) | Server-side key generation for non-token clients | |
US11841959B1 (en) | Systems and methods for requiring cryptographic data protection as a precondition of system access | |
US9137017B2 (en) | Key recovery mechanism | |
US9172541B2 (en) | System and method for pool-based identity generation and use for service access | |
US11368450B2 (en) | Method for bidirectional authorization of blockchain-based resource public key infrastructure | |
US20110296171A1 (en) | Key recovery mechanism | |
US20070150737A1 (en) | Certificate registration after issuance for secure communication | |
US11563733B2 (en) | Security token validation using partial policy validations | |
JP2023541599A (ja) | サービス通信方法、システム、装置及び電子機器 | |
US11240027B2 (en) | Synchronizing radius server databases using distributed ledger network | |
JP2010531516A (ja) | 安全でないネットワークを介する装置のプロビジョニング及びドメイン加入エミュレーション | |
EP1836798A2 (en) | Method and apparatus providing policy-based revocation of network security credentials | |
JP7309880B2 (ja) | リダイレクションを含むタイムスタンプベースの認証 | |
US20100318806A1 (en) | Multi-factor authentication with recovery mechanisms | |
EP3966997B1 (en) | Methods and devices for public key management using a blockchain | |
US10791119B1 (en) | Methods for temporal password injection and devices thereof | |
US20230246816A1 (en) | Zero trust authentication | |
CN114938278B (zh) | 一种零信任访问控制方法及装置 | |
JP2024506915A (ja) | ゼロ信頼認証 | |
CN112600831B (zh) | 一种网络客户端身份认证系统和方法 | |
Liou et al. | T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs | |
CN112491787B (zh) | 一种用户数据的安全管理的方法和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |